03 Nov “VITA DA PRIVACYISTA” PUNTATA 41 – 1 ESPERTO/A ALLA SETTIMANA, 20 DOMANDE FUORI DAGLI SCHEMI
“VITA DA PRIVACYISTA” – Quarantunesima puntata – 1 esperto/a alla settimana, 20 domande fuori dagli schemi
A cura di Luca Bolognini
La rubrica-intervista che raccoglie idee originali dai migliori esperti di privacy e diritto dei dati in Italia e all’estero. L’esperto di questa settimana è…
- Nome, cognome, ruolo oggettivo e ruolo “putativo/desiderato”
Francesco Capparelli, sono Chief Cybersecurity Advisor di ICT Cyber Consulting e Senior Fellow Researcher dell’Istituto Italiano per la Privacy e la Valorizzazione dei Dati. Non ho un ruolo desiderato specificabile, se non aspirazioni: i riflessi geopolitici della sicurezza informatica mi affascinano, ma è una disciplina che non si è ancora affermata e per la quale, pertanto, non esiste un ruolo putativo.
- Perché e quando iniziasti a occuparti di privacy e protezione dei dati personali?
Ho iniziato a occuparmi di sicurezza informatica, da un punto di vista tecnico, a 14 anni, per curiosità. In chiave anche giuridica, ho iniziato a occuparmi di data protection nel 2016, durante la pratica forense. Per quanto riguarda la sicurezza informatica, mi ha spinto la voglia di proteggere ciò che creavo dietro lo schermo del computer. Per quanto riguarda la professione legale ho iniziato a interessarmi della materia durante la redazione della tesi del Master LUISS in Competition Law, in quanto le due discipline, ovverosia quella del diritto della concorrenza e quella del diritto dei dati, sono tangenziali e spesso correlate.
- Cosa ti annoia della privacy/data protection?
Non mi appassiona il districarmi in approcci esclusivamente formali: per chi si occupa di sicurezza informatica da una prospettiva giuridica, non è esclusivamente il rischio sanzionatorio da dover “tenere a bada” ma il concretizzarsi di minacce e la loro imprevedibilità. La forma mentis che si costruisce basandosi su una costante attenzione alla verosimiglianza che un rischio possa estrinsecarsi comporta un progressivo allontanamento dai formalismi e da quella che mi piace definire “compliance su carta”.
- Gli anglicismi sono inevitabili per chi si occupa di questa materia (come il latinorum per altri ambiti), o ci stiamo sbagliando?
Ritengo che l’utilizzo della lingua inglese nella data protection e nell’information security sia fondamentale, del resto sarebbe particolare sentir definire un malware “programma per elaboratore malevolo”, per non parlare dei troppi entomologi da dover coinvolgere se si traducesse la parola “bug”.
- Pensi che la privacy stia a cuore della gente? È davvero “pop” o non interessa niente?
Grazie alle attività svolte con l’Istituto Italiano per la Privacy e la Valorizzazione dei Dati, nell’ambito del progetto di ricerca NGIoT, ho potuto approfondire empiricamente quanto sia rilevante la percezione della privacy negli utenti dei dispositivi IoT. Nella nostra ricerca, abbiamo riscontrato che una forte attenzione alla data protection degli utenti, unita alla capacità dei produttori dei dispositivi IoT di dimostrare tale attenzione, è il principale veicolo di crescita della fiducia degli end-user verso i dispositivi e i loro fornitori e produttori. In conclusione, non possiamo considerarlo un tema di nicchia, ma è il compito dei professionisti e della community di privacyisti quello di diffondere la consapevolezza di tale rilevanza e quanto quest’ultima rientri sempre più tra le priorità dei consumatori e dei cittadini.
- Come gliela spieghi, questa disciplina, ai bambini delle elementari?
Facendogli apprezzare il valore dell’essere diversi l’uno dall’altro, perché i nostri dati personali, del resto, altro non sono che le informazioni utili a distinguerci, a differenziarci, a essere “altro”.
- L’ora, secondo te, più buia per la privacy in Europa negli ultimi 10 anni?
Deve ancora arrivare. Al momento, stiamo assistendo ad un’evoluzione della disciplina e a un interesse diffuso in relazione alla materia e ai nostri diritti in qualità di data subject, ma alcune egemonie tecnologiche minacciano di compromettere ciò che in Europa abbiamo conquistato e costruito.
- L’ora, secondo te, più luminosa per la privacy in Europa negli ultimi 10 anni?
Sarò banale ma, per me, che sono anagraficamente acerbo e in cerca di costante apprendimento, è il 25 maggio 2018.
- I consulenti, i DPO e i privacy officer stanno diventando decine di migliaia. Un male o un bene?
Un bene, in quanto ciò implica che la cultura della protezione dei dati si stia diffondendo capillarmente all’interno del tessuto produttivo del nostro Paese.
- I dati personali sono monete?
Non voglio tirarmi fuori dal dibattito relativo alla monetizzazione dei dati, ma vorrei fornire umilmente un punto di vista alternativo: i dati personali sono già monete. Sul dark web, una carta d’identità di un cittadino europeo, trafugata da un cybercriminale, vale tra i 3 e i 7 dollari.
- Quando leggi notizie di dure sanzioni alle imprese, esulti o ti preoccupi?
Nessuna delle due reazioni, le sanzioni non mi preoccupano e non v’è alcuna ragione di esultare. La mia prima reazione è un’umana preoccupazione per i colleghi privacyisti che hanno assistito quell’impresa; inoltre, ritengo che la sanzione possa rappresentare, in alcune circostanze, un motore di crescita culturale per l’organizzazione cui è comminata.
- Con sincerità e senza retorica: credi che il “consenso preventivo dell’interessato” sia ancora una buona idea nel “tutto digitale”?
È una forma di esercizio del nostro arbitrio, che è messa alla prova dalla tecnologia; tuttavia, risulta necessaria e imprescindibile, per affermare quelli che sono i principi che ci sono garantiti dal prezioso lavoro che è stato svolto dal legislatore; un lavoro di sintesi che trasforma l’esperienza passata nei cardini che regolano il nostro futuro vivere civile.
- Con sincerità e senza retorica: è davvero possibile sintetizzare e rendere semplici i tanti contenuti obbligatori di un’informativa privacy?
Sì: l’Istituto Italiano per la Privacy e la Valorizzazione dei Dati si è dotato di uno strumento gratuito e a disposizione di tutti che consente di generare delle informative a fumetti, che io credo sia un valido e brillante esempio della semplificazione di cui abbiamo bisogno. Le informazioni possono essere veicolate dando spazio a forme creative, spesso ignorate, quali il ricorso a LED, QR code e tanto altro.
- Leggi sempre le informative privacy e le cookie policy sui siti e sulle app che utilizzi personalmente?
Ne leggo circa l’80%, anche per apprezzare il lavoro dei colleghi e per comprendere quali servizi utilizzare. Un’informativa scritta bene è un segno distintivo per il titolare che la mette a disposizione, poiché è la dimostrazione tangibile che c’è un’attenzione non marginale alle tematiche di cui ci occupiamo.
- DPO più top manager o più mini-garante?
Decisamente più top manager in quanto, per creare una cultura aziendale della protezione dei dati, è necessario saper coniugare le ragioni di business con quelle di compliance, operando scelte che non escludano il contesto produttivo dell’impresa.
- Un tuo consiglio di metodo a un giovane DPO.
Ciò che mi ha aiutato a muovere i primi passi nel mondo della data protection è stato strutturare i percorsi di compliance tramite l’analisi dei processi di un’organizzazione: sovente, le aziende non conoscono se stesse e raggiungere gli obiettivi di compliance le aiuta a comprendersi maggiormente e a migliorarsi. Inoltre, al fine di districarsi nei meandri della disciplina, è necessario mantenersi costantemente informati. Una delle prime lezioni del mio mentore è stata quella di leggere, ogni mattina, tutto ciò che potevo, sia in relazione alle novità tecniche sia agli aggiornamenti di carattere strettamente giuridico, attraverso numerosi canali, dai feed alle rassegne stampa; in questa materia serve avere una costante passione per lo studio e la ricerca, che suggerisco di coltivare.
- L’Unione Europea fa troppe regole e frena l’innovazione: vero o falso?
Falso, la sensazione che le regole siano un freno all’innovazione è dovuta al fatto che spesso l’Unione Europea tende a trasformare la propria azione di politica estera tramite leggi e regolamenti “tecnico-economici”, quindi si può avere la sensazione che le leggi interrompano l’innovazione, ma è una modalità dell’UE di consolidare un posizionamento geopolitico.
- Il GDPR è al passo con l’Intelligenza Artificiale e il Metaverso?
Mi si consenta una risposta stringata: ho avuto il piacere di essere ospite di “Privacy in Venice”, che riporta su uno dei suoi muri il dettato normativo dell’art. 22 GDPR. Recentemente, ho ascoltato l’Avv. Rocco Panetta affermare che il GDPR sopravviverà almeno altri 20 anni; concordo ma mi sento di aggiungere che l’art. 22 del GDPR potrebbe sopravvivere anche alcuni secoli.
- Tra dieci anni: protezione dei dati o protezione degli effetti personali?
Tra 10 anni protezione del set informativo che indosseremo e di cui saranno composti i nostri avatar nel Metaverso, uno scenario ancora da comprendere pienamente e da analizzare adeguatamente.
- Puoi consigliare un libro, che non sia “L’Arte della Privacy”, ai tuoi colleghi e collaboratori. Quale e perché?
“Cloud Atlas” nei capitoli relativi al personaggio di Somni, dove l’autore descrive un quadro particolarmente limpido e visionario di quello che potrebbe essere il mondo fra cent’anni; un mondo iper-globalizzato in cui il dato personale nel Metaverso è l’unico elemento che ci distingue gli uni dagli altri. Inoltre, da professionista della sicurezza informatica, non posso che consigliare i romanzi del genere cyberpunk: probabilmente non forniscono preziosi elementi per la nostra professione ma rappresentano, a mio modesto avviso, un pregevole diletto e una base concettuale per i prossimi anni.